O documento lista os 10 erros mais comuns de segurança em ecommerces e fornece recomendações para corrigi-los. Os erros incluem armazenar dados de clientes sem criptografia, não testar frequentemente a segurança da aplicação, e não utilizar autenticação forte. As recomendações envolvem criptografar dados, realizar testes de vulnerabilidade, implantar selos de credibilidade e autenticação de dois fatores.
Boas práticas de programação com Object Calisthenics
10 problemas seguranca_ecommerce
1. Os 10 erros mais comuns de segurança na
operação de um ecommerce
Gustavo F. de Souza
Diretor
2. O Histórico do Ecommerce
1979: Criação do primeiro shopping Online;
1984: Eletronic Mall foi criado pela CompuServe;
1994: O primeiro banco online foi inaugurado;
1995: Lançamento da Amazon.com;
2000: Bolha .com;
2011: O Ecommerce no Brasil movimentou mais de R$18 Bilhões de
reais. Nos EUA passou de US$197 Bilhões.
3. Dados relacionados a Segurança
no Ecommerce – SiteBlindado
Problemas na 1a. Certificação de
Segurança
Falhas Segurança
8% Aplicação
16% Sem SSL
51%
Problemas de DNS
25%
Infectados
Malware
4. Problemas de Segurança mais
comuns
Software desatualizados;
Vulnerabilidade de Cross Script Injection;
Serviços Desnecessários disponíveis;
SQL Injection;
Página de administração disponível para qualquer pessoa acessar;
Página de login sem criptografia.
5. Entidades relacionadas ao
ecommerce
Usuário: Comprador
Website B2C: Vendedor;
Hacker: entidade que tenta explorar
fragilidades no sistema;
Software
Ecommerce Hacker
Software Ecommerce: Plataforma ou
software desenvolvido para negócios
online.
Usuários
Webite B2C
6. Vetores de ataques ao ecommerce
Malwares
Programas Infectados
Software
Ecommerce
Hacker Ataque Phishing
Malware para estação
Ataque de Aplicação
Problemas conhecidos
DDoS
Usuários
Interceptação dos dados da transação
Website - Usuário
Website B2C
9. Os Erros mais comuns
1- Armazenar dados de clientes e cartão de crédito em claro.
Recomendação:
Armazenar dados de clientes criptografados.
Não armazenar dados de cartão de crédito de clientes (utilizar
gateways).
2- Não avaliar recorrentemente a segurança da aplicação.
Recomendação:
Realizar análise automatizada / Testes de invasão de
vulnerabilidades sob a ótica do usuário.
10. Os Erros mais comuns
3- Não ter criptografia em páginas críticas e selo de credibilidade.
Recomendação:
Implantar criptografia forte em páginas críticas.
Implantar métodos de troca de chaves seguros.
Ter selo de credibilidade em todas as URLs.
4- Não utilizar autenticação forte para usuários do sistema.
Recomendação:
Garantir que o usuário é o autorizado para transação.
Restringir e implantar autenticação de 2 fatores admins.
11. Os Erros mais comuns
5- Não estar protegido contra ataques de Negação de Serviços (Dos e
DDos).
Recomendação:
Implantar mecanismo de proteção de ataques de DDos no DNS e
Portal (Interface).
6- Não utilizar Web application Firewalls, Firewalls, Proxies e IPSs.
Recomendação:
Implantar mecanismos externos de proteção de aplicação – WAF.
Implantar mecanismos de proteção de perímetros.
12. Os Erros mais comuns
7- Usar softwares desatualizados.
Recomendação:
Implantar mecanismo de verificação de versão de software.
Atualizar periodicamente os softwares/plataformas.
8- Não ter um controle de disponibilidade / plano de continuidade /
backup.
Recomendação:
Implantar monitoração de performance e rotinas de contingência
dos serviços críticos.
Preservar backups atualizados e testes regulares.
13. Os Erros mais comuns
9- Arquitetura Segregada e proteção de dados.
Recomendação:
Implantar segregação de ambientes como: Proxy ou WAF de
entrada, banco de dados apenas para leitura de dados, banco de
dados restrito para escrita.
Implantar software de controle de vírus, navegação e malware
para colaboradores do portal (funcionários).
10 – Não analisar logs da aplicação, banco de dados e perímetros.
Recomendação:
Analisar diariamente logs dos servidores Web, aplicação e banco.
Analisar mecanismos de defesa no mínimo diariamente.
14. O b r ig a d o !
o
G us ta vo S o uza
gustavo@siteblindado.com.br
(11) 3165-4000